Проектирование локальной сети ГБОУ СОШ 1499

Чтобы этого избежать требуется создать и реализовать такую сетевую политику, которая обеспечит требуемый уровень безопасности и не создаст помех в работе сотрудников. Для реализации сетевой безопасности сеть разделяется на VLAN и подсети, которые объединены только через маршрутизатор, на котором настроены политик доступа из одной подсети в другую.В таблице 5.1 приведены группы сотрудников с сопоставлением их определенным VLAN и подсети.Таблица 5.1 – Группы сотрудников№Название VLANНаименование структурной единицы учебного заведенияIP адреса подсетейКоличество рабочих станций1ManagementОтдел связи и АСУ10.0.1.64 /2622AccountsБухгалтерия10.0.1.16 / 2843StaffОтдел кадров10.0.1.32 / 2884MainДиректор, секретарь, зам. директора10.0.1.1 / 2855MaterialКомп. классы10.0.1.48 / 24487Wi-FiБеспроводная сеть10.0.1.128/ 25<705.2 Разделение прав доступа к внутренним ресурсам сетиСогласно проведенному обследованию предметной области в части функционального деления отделов было выработано соответствие групп пользователей правам, которые они имеют во внутренней сети, которые представлены в таблице 5.2Таблица 5.2 – Сервисы и доступ к ним№Название VLANWEB серверMAIL серверDB 1 серверDB 2 серверАктивное сетевое оборудование1ManagementПолныйПолныйПолныйПолныйПолный2AccountsПо HTTPПо POP3, SMTPПо FTPПо FTPНет3StaffПо HTTPПо POP3, SMTPПо FTPПо FTPНет4MainПо HTTPПо POP3, SMTPПо FTPПо FTPНет5MaterialПо HTTPПо POP3, SMTPПо FTPПо FTPНет6Wi-FiПо HTTPПо POP3, SMTPНетНетНетНа основании этой таблицы настраиваются сетевые политики безопасности на активном сетевом оборудовании.Сетевая политика также регламентирует общие для всех пользователей параметры:все сотрудники имеют только пользовательские права на своих рабочих ПК, установкой, удалением ПО занимается отдел Management (исключение составляются сервисные отделы);антивирусная защита осуществляется корпоративным антивирусным ПО, обновление которого происходит по расписанию установленному централизованно, с сервера учебного заведения;канал доступа в интернет делиться между всеми группами поровну (15 % от общей полосы пропускания);отдел Management ведет список запрещенных ресурсов, доступ к ним закрыт (социальные сети, развлекательные порталы и прочее);доступ к серверам осуществляется по принципу «запрещено все, что не разрешено», т.е. если для доступа к DB 1 серверу нужно открыть доступ по двум TCP портам, то все остальные должны быть закрыты.5.3 Разделение прав доступа к внешним ресурсам сетиК внешним ресурсам сети относятся все ресурсы сети Интернет. Использование ресурсов сети интернет на предприятии можно условно разделить на следующие группы: Поиск информации.Использование программ мгновенного обмена сообщениями для общения с клиентами и партнерами.Использование сервисов для обновления ПО используемого в сети школы.Согласно требования предъявляемым к сети, а также согласно функционального назначения отделов определено, что каждому сотруднику требуется доступ к сети интернет и ко всем перечисленным ресурсам.При этом ограничивается доступ к ряду ресурсов, которые по своему назначению не могут быть связаны с производственной необходимость, а также могут нести угрозу сетевой безопасности, к ним относятся:Развлекательные ресурсы.Социальные сети.Сервисы удаленного доступа к рабочему столу.Он-лайн игры, музыка, фильмы.Торрент-трекеры.Доступ к указанным ресурсам запрещается. Во-первых, для соблюдения трудовой дисциплины, т.к. такие сервисы как социальные сети или он-лайн игры могут отвлечь работников от выполнения их прямых обязанностей, во-вторых, для обеспечения информационной безопасности. Каждый из этих ресурсов может привести к определенной нестабильности в работе ИТ-инфраструктуры, например:распространение вирусов (скачать зараженный файл с развлекательного ресурса – гораздо выше, чем с сайта клиента, партнера или государственного учреждения);торрент-загрузки могут создавать большой трафик, который приведет к «заторам» в сети и создаст помехи полезному трафику;программы предоставляющие сервисы удаленного доступа могут предоставить доступ не только их пользователю, но и злоумышленнику.Обеспечение описанных требований возлагается в первую очередь на сетевой экран, выполняющий роль маршрутизатора и шлюза Интернет. В реализованной сети для этой роли выбран межсетевой экран CiscoASA 5505, который обладает следующими характеристиками:Пропускная способность до 150 Мбит/с. (При существующих каналах арендуемых у провайдеров 10 Мбит/с каждый, пропускная способность межсетевого экрана имеет большой запас).До 20 VLAN (По техническому заданию требуется 7).Возможность создать разграничение прав на основе классов (в каждый класс можно добавить определенный VLAN, что позволит гибко настраивать политику).Шифрование DES.Запрет установления соединения из Интернет.Возможность организовать VPN подключение SSL или IPSec.5.4 Выбор технологий и способов управления сетьюДля обеспечения информационной безопасности требуется соблюдение ряда требований по управлению сетью, к ним относятся:мониторинг сетевых устройств;обеспечение антивирусной защиты;возможность быстрого поиска неисправностей и локализации проблем;своевременная и регулярная архивация данных.Мониторинг и реагированиеВ качестве программного обеспечения мониторинга сетевого оборудования выбран программный комплекс NateksFlexGainView, построены на базе CastleRockSNMPc. Общая архитектура системы строится по системе «клиент/сервер» (различные «клиенты» могут быть установлены на нескольких физических машинах, подключенных к одному и тому же серверу) и по принципу «агент/менеджер» на основе протокола SNMP. Этот комплекс обеспечивает такие важные функции, как:картография сети;сигнализация аварийных сообщений на карте устройств;конфигурирование сетевых элементов;ведение журналов текущих и прошедших событий.В качестве серверных операционных системы выбрана Windows 2012 Server, предустановленная на сервера поставщиком. Эта операционная система стабильна, и за годы ее существования были выявлены и устранены основные недостатки. Операционными системами на рабочих местах остаются существующие системы семейства Windows. На указанных операционных системах также включается агент SNMP, что позволяет вести мониторинг состояния не только сетевого оборудования, но и рабочих станций и серверов.В качестве дополнительного ПО для мониторинга работы серверов будет использоваться «10-Страйк: Мониторинг Сети». Это легкое удобное программное обеспечение позволяет предлагает следующее:Мониторинг служб, баз данных, портов TCP.Мониторинг температуры, напряжения, места на дисках и прочих параметров по SNMP и WMI.Информирование с помощью e-mail, SMS, звука или сообщения на экране.Анализ статистики мониторинга, графики и отчеты.АрхивированиеС целью предотвращения аварийных ситуаций и предупреждению выхода из строя оборудованиянеобходимо внедрить автоматическое создание архивных копий документов. В качестве средства резервного копирования в сети ООО ГБОУ СОШ 1499 был выбран Acronis Backup. В разработанной сети все сервера должны быть обеспечены программным обеспечением, которое позволит в кротчайшие сроки восстановить данные и возобновить работу сервера после повреждения. Также компьютеры дирекции, начальников отделов оборудуются средствами резервного копирования.Антивирусная защитаВажным компонентом информационной инфраструктуры является антивирусное программное обеспечение,вред которой могут нанести вирусы, приводящие к неприятным последствиям, что в конечном итоге ведет к простоям, потере информации и пр. Поэтому внедрение программного обеспечения защищающего от вирусных программ является необходимым. На сегодняшний день на рынке ПО представлено огромное количество средств антивирусной защиты. В сети помимо общих требований (поиск вирусов, лечение, надежность) требуется:централизованное обновление;настройка по сети;невозможность отключить антивирус пользователем;не требовательность к ресурсам.На основании этого исследования был выбран программный продукт компании «Лаборотория Касперского» Kasperskyendpointsecurity для бизнеса. Стандартный.5.5 Тестирование сети, Замер скоростных характеристик созданной сети, сравнение их с требованием технического заданияИсследование и тестирование реализованной вычислительй сети, схема которой представлена на рисунке 5.1, произведем в программеCiscoPacketTracer [24].Рисунок 5.1 – Анализ функционирования сети в CPTПосле того как оборудование подключено и настроено(указаны IP-адреса, прописаны таблицы маршрутизации, указана принадлежность портов к VLAN) необходимо проверить правильность настройки. ЗАКЛЮЧЕНИЕВ ходе выполнения данной дипломной работы была разработана ЛВС ООО ГБОУ СОШ 1499 . ЛВС состоит из двух частей: программной и аппаратной подсистем.Программная подсистема представляет собой прикладное и платформенное ПО, а также операционные системы рабочих станций и серверов школы. Аппаратная подсистема включает в себя аппаратные средства корпоративной сети. Нужно отметить, что корпоративная сеть школы базируется на многоуровневой архитектуре, которая основанана принципах иерархичности и модульности.Приведенные решения, технологии построения ЛВС, а также выбранные аппаратные средства реализации сети позволили разработать вычислительную сеть, отвечающую всем поставленным требованиям надежности, защищенности, масштабируемости и комплексности. Важными среди полученных результатов являются возможность дальнейшего наращивания сети и полученная высокая производительность, что немаловажно при быстрорастущих требованиях школы и увеличивающихся объемах передаваемой информации.СПИСОК ЛИТЕРАТУРЫДядичев В. В. Компьютерные телекоммуникации и сети ЭВМ: Учеб. пособие / Восточноукраинский национальный ун-т им. Владимира Даля. — Луганск, 2006. — 208с. : Рисунок — Библиогр.: с. 202-203.Лобунец Евгений Юрьевич, Решетник Наталия Александровна. Компьютерные сети: учеб. пособие для студ. спец. 7.050102 "Экономическая кибернетика" / Донбасская гос. машиностроительная академия. — Краматорск : ДГМА, 2008.Сквирский Виктор Давыдович, Рубан Алексей Владимирович. Компьютерные сети. Локальные сети: учеб.-метод. пособие для студ. спец. "Информатика" / Государственное учреждение "Луганский национальный ун-т им. Тараса Шевченко". — Луганск : ГУ "ЛНУ им. Т.Шевченко", 2008. — 129с. Специализированные архитектуры ЭВМ. Устройства для дискретной обработки сигналов: пособие для иностр. студ. спец. 6.091501 "Компьютерные системы и сети" / Национальный авиационный ун-т / Владимир Яковлевич Краковский (авт.-сост.). — К. : НАУ, 2006. — 336с.Чернега Виктор, Платтнер Бернард. Компьютерные сети: учеб. пособие для студ. направления "Компьютерные науки" вузов / Севастопольский национальный технический ун-т. — Севастополь : СевНТУ, 2006. — 500с.Камер Дуглас Э.. Компьютерные сети и Internet. Разработка приложений для Internet / К.А. Птицын (пер.с англ.,ред.). — 3. изд. — М. ; СПб. ; К. : Издательский дом "Вильямс", 2002.Ватаманюк А.И. «Создание, обслуживание и администрирование сетей». – СПб.: Питер, 2010 г. 232с.Семенов А.Б., С.К. Стрижаков, И.Р. Сунчелей. «Структурированные кабельные системы». – М.: ЛАЙТ Лтд., 2010 г. 608, 16 с.: ил.